VMware 安全漏洞警告与更新

关键信息

• VMware 针对 Aria Operations for Networks 发布了两个漏洞警告，其中一个为核心漏洞。
• 更新现已推出，鼓励安全团队尽快修补。
• 关键漏洞包括身份验证绕过和任意文件写入，分别严重影响系统的访问和安全性。

VMware在周二发布了一份，提到
Aria Operations for Networks 存在两个漏洞，其中之一被评为关键漏洞。更新现已发布，供安全团队进行修补。

Aria Operations for Networks 提供在本地和云基础版本，旨在帮助安全团队在多个云环境中构建安全的网络基础设施。

漏洞详情

第一个漏洞为 ****
，属于身份验证绕过漏洞，原因在于缺乏唯一的加密密钥生成。

根据 NIST 的报告，具备 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证，从而获取
Aria Operations for Networks 命令行接口 (CLI) 的访问权限。VMware 将此问题的严重性评估为关键，最大 CVSS得分为 9.8。

第二个漏洞 ****
则包含任意文件写入漏洞。NIST 报告称，拥有管理员访问权限的恶意行为者可以向任意位置写入文件，导致远程代码执行。VMware将此缺陷评级为高严重性，CVSS 得分为 7.2。

VMware 感谢 Harsh Jaiswal 和 Rahul Maini 于报告关键漏洞，并感谢研究组的 Sina Kheirkhah 报告高严重性漏洞。安全团队可以在此处下载 VMware更新：

风险分析

身份验证绕过漏洞是最为严重的漏洞之一，因为身份验证是系统授权访问的核心功能，正如 Coalfire 的副总裁 Andrew Barratt所解释的那样。Barratt 指出，与 9.8 CVSS 等级相比，VMware 对于黑客快速利用此漏洞的担忧显而易见。

Barratt 进一步阐述：“工具以前被称为‘vRealize NetworkInsight’，提供了多云环境的广泛可见性。安全隐患在于，恶意行为者若利用此漏洞将可能获得对产品管理的工作负载配置的重要访问权。此外，产品的一项‘关键资产分析’功能可能会向入侵者显现其他安全漏洞的位置，这不仅是进入系统的钥匙，也可能是获取高价值信息的蓝图。”

Cyware 的主任 Emily Phelps 表示，唯一的加密密钥生成对于许多加密系统至关重要，因此 VMware 的关键漏洞引入了严重的安全风险。

Phelps 表示：“如果没有假定的唯一密钥，用户将依赖的不再是安全保障，面对未打补丁的系统，攻击者将迅速进行利用。组织应尽快更新和打补丁。”